Jump to content

WIN11 mit 2 Netzwerkkarten - Netzwerkzugriff absichern / definieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

ich bin in Sachen Netzwerkregeln nicht ganz sattelfest, weshalb ich mich hier ans Forum wende um ggf. Unterstützung zu bekommen.

 

Habe:

- PC mit WIN11 Pro

- 2 Netzwerkkarten im PC

- 1. Netzwerk: 192.168.178.0/24 (Hauptnetz genannt)

- 2. Netzwerk: 192.168.220.0/24 (Nebennetz genannt)

- Am PC habe ich die erste Netzwerkkarte mit der IP 192.168.178.100 gesetzt und die 2. Netzwerkkarte auf die IP 192.168.220.100

- In dem Hauptnetz ist ein Router, welcher das 2. Netzwerk (Nebennetz) aufbaut und zu einem externen Netzwerk die Verbindung herstellt.

- In der Firewall vom Hauptnetz habe ich bereits Maßnahmen ergriffen, welche sicherstellen, das bis zum Router für das Nebennetz kein Zugriff auf das Hauptnetz besteht.

(hoffe, das ist verständlich dargestellt)

 

Was ist beabsichtigt:

Das Nebennetzt soll überwacht werden (Monitoring). 

Zugriff auf das Hauptnetz muss verhindert sein

 

Meine bedenken:

Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden

 

Dazu stellen sich 2 Fragen, wie ich folgendes unterbinden kann:

Ein Zugriff auf die Datenstruktur vom PC.

Ein Zugriff aus dem Nebennetzt in das Hauptnetz.

 

Leider weiß ich nicht, wie / wo ich hier ansetzen soll und das am PC entsprechend konfigurieren kann, weshalb ich hier mal vorsichtig nachfragen wollte, ob mir jemand eine Tipp oder Link senden kann.

Wäre echt dankbar für jede Hilfestellung

 

Gruß

Falke07

 

Link zu diesem Kommentar

Hallo und Willkommen im Forum,

 

ich kann nur generell schreiben: Das führt zu nichts. Das mit dem Routing kann man lösen, jedoch wird das interne Netz trotzdem gefährdet. Einfach Beispiel: Du fängst Dir über den öffentlichen Zugang eine Virus ein, z.B. ein Ransonware. Der verschlüsselt Dir trotzdem Deinen PC und alle erreichen internen Ressourcen und kann sich über Sicherheitslücken oder zu hohen Rechten im internen Netz dort ausbreiten. 

 

Für den Monitoring gibt es in der Regel Agenten, die man in den "anderen" Segmenten installieren kann. Den expliziten Zugriff vom Agenten zum Monitoring-Host regelt man über eine explizite FW-Regel. Das macht man nicht mit einem Windows 11-PC.

Link zu diesem Kommentar

Hallo,

 

Hmm. Soweit OK. 

Meine Hauptfrage wäre:

Kann ich über das Nebennetz (192.168.220.0/24), welches auf der 2. Netzwerkkarte im PC mit der IP 192.168.220.100 verbunden ist, auf die Datenstruktur des PC's zugreifen bzw. komme ich hier in das 192.168.178.0/24 Hauptnetz und kann so auf Geräte / Daten in dem Hauptnetz zugreifen.

 

Das wäre mir mal das Wichtigste.

Viren etc. wären ein anderes Thema.

 

 

 

Link zu diesem Kommentar

Zur 2. Frage: Da muss Du eine statische Route definieren (findest Du bei Google). Clients müssen dann diesen PC als Gateway benutzen.

Bei der 1. Frage bin ich überfragt. Du darfst nur auf einer NIC ein Default Gateway oder gar keins eintragen. Windows macht gern Multihoming und schickt Antworten oft über das falsche Interface raus.

Windows sollte nur mit einer NIC betreiben werden. 

 

Ich kenne die Anforderungen an das dortige Netzwerk nicht, daher solltest Du mit solchen Aktionen vorsichtig sein, weil Du u.U. das "Hauptnetz" gefährdest 

Link zu diesem Kommentar

Deine Anforderungen regelt man mit dem Router

Aus der IP-Adresse 192.168.18.x schließe ich das dort eine Fritzbox im Einsatz ist?

Die kann so komplexe Dinge nicht, die wurde für Heimnetzte entwickelt

Und wo und in welchem physischen LAN stekt das Kabel der 2ten Netzwerkkarte?

 

Ich bin da bei zahni, das wird so nix

 

Wie gesagt - das kann mit einem richtigen Router wohl klappen, aber...

 

:-)

Link zu diesem Kommentar
Am 29.2.2024 um 08:32 schrieb Falke07:

Was ist beabsichtigt:

Das Nebennetzt soll überwacht werden (Monitoring). 

Zugriff auf das Hauptnetz muss verhindert sein

 

Meine bedenken:

Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden

Du hast einen Rechner, der direkt in jedem der beiden Netze hängt?
Ist denn der Rechner aus dem "Nebennetz" erreichbar? Das ist nicht klar.

Am 29.2.2024 um 08:32 schrieb Falke07:

- In der Firewall vom Hauptnetz habe ich bereits Maßnahmen ergriffen, welche sicherstellen, das bis zum Router für das Nebennetz kein Zugriff auf das Hauptnetz besteht.

Bringt ja nix, wenn der PC mit einem Bein in dem zweiten Netz hängt.

Vielleicht würde es helfen, wenn du das ganze mal aufmalst.

Link zu diesem Kommentar
Am 29.2.2024 um 08:32 schrieb Falke07:

Meine bedenken:

Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden

Am 29.2.2024 um 11:57 schrieb Falke07:

Kann ich über das Nebennetz (192.168.220.0/24), welches auf der 2. Netzwerkkarte im PC mit der IP 192.168.220.100 verbunden ist, auf die Datenstruktur des PC's zugreifen bzw. komme ich hier in das 192.168.178.0/24 Hauptnetz und kann so auf Geräte / Daten in dem Hauptnetz zugreifen.

Nein. Gehen wir mal von einer "default" Installation ohne Änderungen (bspw. ICS) aus.

 

Am 29.2.2024 um 08:32 schrieb Falke07:

Dazu stellen sich 2 Fragen, wie ich folgendes unterbinden kann:

Ein Zugriff auf die Datenstruktur vom PC.

Ein Zugriff aus dem Nebennetzt in das Hauptnetz.

Generell kann man empfehlen erstmal alle vorhanden eingehenden Firewallregeln zu entfernen. Damit würdest du zumindest die administrativen Möglichkeiten remote aus beiden Netzen auf den PC zuzugreifen unterbinden.

 

 

Link zu diesem Kommentar
Am 29.2.2024 um 15:17 schrieb Nobbyaushb:

Aus der IP-Adresse 192.168.18.x schließe ich das dort eine Fritzbox im Einsatz ist?

Leider nein. Es war einmal eine FB, daher das 192.168.178.0/24- Hauptnetz. Mittlerweile Unifi USG4-Pro mit Vigor- Modem. (Siehe Bild)
Somit Möglichkeiten

 

Am 1.3.2024 um 13:41 schrieb magheinz:

Vielleicht würde es helfen, wenn du das ganze mal aufmalst.

Anbei mal der Netzwerkplan. (Mittlerweile etwas angepasst)
192.168.200.0/30 (rot) wird per VLAN nur auf dem einen Switch- Port für dem Anschluss des Routers geleitet. Auf diesem Port liegt kein anderes Netzwerk.

Routing.png

Link zu diesem Kommentar

Das Gesetz #8 der "10 Immutable Laws of Security Administration" besagt:

 

Zitat

The difficulty of defending a network is directly proportional to its complexity.

Das solltest Du beherzigen. Ich kenne die USG nicht, aber vermutlich kannst Du alles Gewünschte dort abwickeln, ohne noch einen Windows-Rechner als Bastion zu involvieren.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...